Страница 1 из 1

ipfw nat пропадает Internet

Добавлено: 2011-08-24 9:35:01
skorin
Доброго времени суток!
Помогите!
Сервер:
FreeBSD server 8.2-RELEASE
Внутренняя сеть из 9 машин

Ядро:

Код: Выделить всё

options IPFIREWALL
options IPFIREWALL_VERBOSE
options IPFIREWALL_VERBOSE_LIMIT=10
options IPDIVERT
options IPFIREWALL_DEFAULT_TO_ACCEPT
rc.conf:

Код: Выделить всё

keymap="ru.koi8-r"
scrnmap="koi8-r2cp866"
font8x14="cp866-8x14"
font8x16="cp866b-8x16"
font8x8="cp866-8x8"
hostname="server"

ifconfig_em0="inet 222.111.222.111 netmask 255.255.255.252"
ifconfig_em1="inet 192.168.0.1 netmask 255.255.255.0"
defaultrouter="222.111.222.000"
gateway_enable="YES"

firewall_enable="YES"
firewall_script="/etc/rc.my_firewall"
#firewall_type="OPEN"

natd_enable="YES"
natd_interface="em0"

sshd_enable="YES"
samba_enable="YES"
inetd_enable="YES"
dhcpd_enable="YES"
dhcpd_conf="/usr/local/etc/dhcpd.conf"
dhcpd_ifaces="em1"
apache22_enable="YES"
rc.firewall

Код: Выделить всё

FwCMD="/sbin/ipfw"
LanOut="em0"                   # внешний интерфейс
LanIn="em1"                    # внутренний интерфейс
IpOut="222.111.222.111"  # внешний IP адрес машины
IpIn="192.168.0.1"         # внутренний IP машины
NetMask="24"
NetIn="192.168.0.0"     # Внутренняя сеть

${FwCMD} -f flush
${FwCMD} -f table 0 flush

${FwCMD} add check-state
${FwCMD} add allow ip from any to any via lo0
${FwCMD} add deny ip from any to 127.0.0.0/8
${FwCMD} add deny ip from 127.0.0.0/8 to any
${FwCMD} add deny ip from any to 10.0.0.0/8 in via ${LanOut}
${FwCMD} add deny ip from any to 172.16.0.0/12 in via ${LanOut}
${FwCMD} add deny ip from any to 192.168.0.0/16 in via ${LanOut}
${FwCMD} add deny ip from any to 0.0.0.0/8 in via ${LanOut}
${FwCMD} add deny ip from any to 169.254.0.0/16 in via ${LanOut}
${FwCMD} add deny ip from any to 240.0.0.0/4 in via ${LanOut}
${FwCMD} add deny icmp from any to any frag
${FwCMD} add deny log icmp from any to 255.255.255.255 in via ${LanOut}
${FwCMD} add deny log icmp from any to 255.255.255.255 out via ${LanOut}
${FwCMD} add divert natd ip from ${NetIn}/${NetMask} to any out via ${LanOut}
${FwCMD} add divert natd ip from any to ${IpOut} in via ${LanOut}
${FwCMD} add deny ip from 10.0.0.0/8 to any out via ${LanOut}
${FwCMD} add deny ip from 172.16.0.0/12 to any out via ${LanOut}
${FwCMD} add deny ip from 192.168.0.0/16 to any out via ${LanOut}
${FwCMD} add deny ip from 0.0.0.0/8 to any out via ${LanOut}
${FwCMD} add deny ip from 169.254.0.0/16 to any out via ${LanOut}
${FwCMD} add deny ip from 224.0.0.0/4 to any out via ${LanOut}
${FwCMD} add deny ip from 240.0.0.0/4 to any out via ${LanOut}
${FwCMD} add allow tcp from any to any established
${FwCMD} add allow ip from ${IpOut} to any out xmit ${LanOut}
${FwCMD} add allow udp from any 53 to any via ${LanOut}
${FwCMD} add allow udp from any to any 123 via ${LanOut}
${FwCMD} add allow tcp from any to ${IpOut} 49152-65535 via ${LanOut}
${FwCMD} add allow icmp from any to any icmptypes 0,8,11
${FwCMD} add allow tcp from any to ${IpOut} 80 via ${LanOut}
${FwCMD} add allow tcp from any to ${IpOut} 22 via ${LanOut}
${FwCMD} add allow tcp from any to ${IpOut} 21 via ${LanOut}
${FwCMD} add allow tcp from any to ${IpOut} 3050 via ${LanOut}
${FwCMD} add allow gre from any to any via ${LanIn}
${FwCMD} add allow tcp from any to any via ${LanIn}
${FwCMD} add allow udp from any to any via ${LanIn}
${FwCMD} add allow icmp from any to any via ${LanIn}
${FwCMD} add deny ip from any to any
dmesg:

Код: Выделить всё

Copyright (c) 1992-2011 The FreeBSD Project.
Copyright (c) 1979, 1980, 1983, 1986, 1988, 1989, 1991, 1992, 1993, 1994
        The Regents of the University of California. All rights reserved.
FreeBSD is a registered trademark of The FreeBSD Foundation.
FreeBSD 8.2-RELEASE #0: Mon Jul 11 01:56:35 MSD 2011
    root@opel.local:/usr/obj/usr/src/sys/FORMULA i386
Timecounter "i8254" frequency 1193182 Hz quality 0
CPU: Intel(R) Xeon(R) CPU           X3430  @ 2.40GHz (2399.99-MHz 686-class CPU)
  Origin = "GenuineIntel"  Id = 0x106e5  Family = 6  Model = 1e  Stepping = 5
  Features=0xbfebfbff<FPU,VME,DE,PSE,TSC,MSR,PAE,MCE,CX8,APIC,SEP,MTRR,PGE,MCA,CMOV,PAT,PSE36,C
  Features2=0x98e3fd<SSE3,DTES64,MON,DS_CPL,VMX,SMX,EST,TM2,SSSE3,CX16,xTPR,PDCM,SSE4.1,SSE4.2,
  AMD Features=0x28100000<NX,RDTSCP,LM>
  AMD Features2=0x1<LAHF>
  TSC: P-state invariant
real memory  = 4294967296 (4096 MB)
avail memory = 2577375232 (2457 MB)
ACPI APIC Table: <INTEL  S3420GPC>
FreeBSD/SMP: Multiprocessor System Detected: 4 CPUs
FreeBSD/SMP: 1 package(s) x 4 core(s)
 cpu0 (BSP): APIC ID:  0
 cpu1 (AP): APIC ID:  2
 cpu2 (AP): APIC ID:  4
 cpu3 (AP): APIC ID:  6
ioapic0 <Version 2.0> irqs 0-23 on motherboard
lapic0: Forcing LINT1 to edge trigger
kbd1 at kbdmux0
acpi0: <INTEL S3420GPC> on motherboard
acpi0: [ITHREAD]
acpi0: Power Button (fixed)
Timecounter "ACPI-fast" frequency 3579545 Hz quality 1000
acpi_timer0: <24-bit timer at 3.579545MHz> port 0x408-0x40b on acpi0
cpu0: <ACPI CPU> on acpi0
cpu1: <ACPI CPU> on acpi0
cpu2: <ACPI CPU> on acpi0
cpu3: <ACPI CPU> on acpi0
pcib0: <ACPI Host-PCI bridge> port 0xcf8-0xcff on acpi0
pci0: <ACPI PCI bus> on pcib0
pci0: <base peripheral> at device 8.0 (no driver attached)
pci0: <base peripheral> at device 8.1 (no driver attached)
pci0: <base peripheral> at device 8.2 (no driver attached)
pci0: <base peripheral> at device 8.3 (no driver attached)
pci0: <base peripheral> at device 16.0 (no driver attached)
pci0: <base peripheral> at device 16.1 (no driver attached)
em0: <Intel(R) PRO/1000 Network Connection 7.1.9> port 0x2040-0x205f mem 0xb1a00000-0xb1a1ffff,
em0: Using an MSI interrupt
em0: [FILTER]
em0: Ethernet address: 00:1e:67:06:e6:d9
ehci0: <Intel PCH USB 2.0 controller USB-B> mem 0xb1a22000-0xb1a223ff irq 21 at device 26.0 on
ehci0: [ITHREAD]
usbus0: EHCI version 1.0
usbus0: <Intel PCH USB 2.0 controller USB-B> on ehci0
pcib1: <ACPI PCI-PCI bridge> irq 16 at device 28.0 on pci0
pci1: <ACPI PCI bus> on pcib1
pcib2: <ACPI PCI-PCI bridge> irq 16 at device 28.4 on pci0
pci2: <ACPI PCI bus> on pcib2
em1: <Intel(R) PRO/1000 Network Connection 7.1.9> port 0x1000-0x101f mem 0xb1900000-0xb191ffff,
em1: Using MSIX interrupts with 3 vectors
em1: [ITHREAD]
em1: [ITHREAD]
em1: [ITHREAD]
em1: Ethernet address: 00:1e:67:06:e6:d8
pcib3: <ACPI PCI-PCI bridge> irq 18 at device 28.6 on pci0
pci3: <ACPI PCI bus> on pcib3
vgapci0: <VGA-compatible display> mem 0xb0000000-0xb0ffffff,0xb1800000-0xb1803fff,0xb1000000-0x
pcib4: <ACPI PCI-PCI bridge> irq 19 at device 28.7 on pci0
pci4: <ACPI PCI bus> on pcib4
ehci1: <Intel PCH USB 2.0 controller USB-A> mem 0xb1a21000-0xb1a213ff irq 23 at device 29.0 on
ehci1: [ITHREAD]
usbus1: EHCI version 1.0
usbus1: <Intel PCH USB 2.0 controller USB-A> on ehci1
pcib5: <ACPI PCI-PCI bridge> at device 30.0 on pci0
pci5: <ACPI PCI bus> on pcib5
isab0: <PCI-ISA bridge> at device 31.0 on pci0
isa0: <ISA bus> on isab0
atapci0: <Intel ICH8 SATA300 controller> port 0x2068-0x206f,0x2074-0x2077,0x2060-0x2067,0x2070-
atapci0: [ITHREAD]
atapci0: AHCI called from vendor specific driver
atapci0: AHCI v1.30 controller with 6 3Gbps ports, PM not supported
ata2: <ATA channel 0> on atapci0
ata2: [ITHREAD]
ata3: <ATA channel 1> on atapci0
ata3: [ITHREAD]
ata4: <ATA channel 2> on atapci0
ata4: [ITHREAD]
ata5: <ATA channel 3> on atapci0
ata5: [ITHREAD]
ata6: <ATA channel 4> on atapci0
ata6: [ITHREAD]
ata7: <ATA channel 5> on atapci0
ata7: [ITHREAD]
pci0: <serial bus, SMBus> at device 31.3 (no driver attached)
acpi_button0: <Sleep Button> on acpi0
atrtc0: <AT realtime clock> port 0x70-0x71,0x74-0x77 irq 8 on acpi0
acpi_hpet0: <High Precision Event Timer> iomem 0xfed00000-0xfed003ff on acpi0
Timecounter "HPET" frequency 14318180 Hz quality 900
uart0: <16550 or compatible> port 0x3f8-0x3ff irq 4 flags 0x10 on acpi0
uart0: [FILTER]
uart1: <16550 or compatible> port 0x2f8-0x2ff irq 3 on acpi0
uart1: [FILTER]
pmtimer0 on isa0
orm0: <ISA Option ROMs> at iomem 0xc0000-0xc7fff,0xc8000-0xc8fff,0xc9000-0xc9fff pnpid ORM0000
sc0: <System console> at flags 0x100 on isa0
sc0: VGA <16 virtual consoles, flags=0x300>
vga0: <Generic ISA VGA> at port 0x3c0-0x3df iomem 0xa0000-0xbffff on isa0
ata0 at port 0x1f0-0x1f7,0x3f6 irq 14 on isa0
ata0: [ITHREAD]
ata1 at port 0x170-0x177,0x376 irq 15 on isa0
ata1: [ITHREAD]
ppc0: parallel port not found.
est0: <Enhanced SpeedStep Frequency Control> on cpu0
p4tcc0: <CPU Frequency Thermal Control> on cpu0
est1: <Enhanced SpeedStep Frequency Control> on cpu1
p4tcc1: <CPU Frequency Thermal Control> on cpu1
est2: <Enhanced SpeedStep Frequency Control> on cpu2
p4tcc2: <CPU Frequency Thermal Control> on cpu2
est3: <Enhanced SpeedStep Frequency Control> on cpu3
p4tcc3: <CPU Frequency Thermal Control> on cpu3
Timecounters tick every 1.000 msec
ipfw2 (+ipv6) initialized, divert enabled, nat loadable, rule-based forwarding disabled, defaul
usbus0: 480Mbps High Speed USB v2.0
usbus1: 480Mbps High Speed USB v2.0
ad4: 239429MB <WDC WD2503ABYX-01WERA0 01.01S01> at ata2-master UDMA100 SATA 3Gb/s
ugen0.1: <Intel> at usbus0
uhub0: <Intel EHCI root HUB, class 9/0, rev 2.00/1.00, addr 1> on usbus0
ugen1.1: <Intel> at usbus1
uhub1: <Intel EHCI root HUB, class 9/0, rev 2.00/1.00, addr 1> on usbus1
ad6: 239429MB <WDC WD2503ABYX-01WERA0 01.01S01> at ata3-master UDMA100 SATA 3Gb/s
ad8: 239429MB <WDC WD2503ABYX-01WERA0 01.01S01> at ata4-master UDMA100 SATA 3Gb/s
ad10: 239429MB <WDC WD2503ABYX-01WERA0 01.01S01> at ata5-master UDMA100 SATA 3Gb/s
GEOM: ad4s1: geometry does not match label (255h,63s != 16h,63s).
ad12: 476940MB <WDC WD5003ABYX-01WERA0 01.01S01> at ata6-master UDMA100 SATA 3Gb/s
ad14: 476940MB <WDC WD5003ABYX-01WERA0 01.01S01> at ata7-master UDMA100 SATA 3Gb/s
ar0: 478852MB <Intel MatrixRAID RAID5 (stripe 64 KB)> status: READY
ar0: disk0 READY using ad4 at ata2-master
ar0: disk1 READY using ad6 at ata3-master
ar0: disk2 READY using ad8 at ata4-master
ar1: 476937MB <Intel MatrixRAID RAID1> status: READY
ar1: disk0 READY (master) using ad12 at ata6-master
ar1: disk1 READY (mirror) using ad14 at ata7-master
lapic6: Forcing LINT1 to edge trigger
SMP: AP CPU #3 Launched!
lapic4: Forcing LINT1 to edge trigger
SMP: AP CPU #2 Launched!
lapic2: Forcing LINT1 to edge trigger
SMP: AP CPU #1 Launched!
GEOM: ad12s1: geometry does not match label (255h,63s != 16h,63s).
GEOM: ad14s1: geometry does not match label (255h,63s != 16h,63s).
GEOM: ufsid/4e1262f9e917847d: geometry does not match label (255h,63s != 16h,63s).
uhub0: 2 ports with 2 removable, self powered
uhub1: 2 ports with 2 removable, self powered
Root mount waiting for: usbus1 usbus0
ugen0.2: <vendor 0x8087> at usbus0
uhub2: <vendor 0x8087 product 0x0020, class 9/0, rev 2.00/0.00, addr 2> on usbus0
ugen1.2: <vendor 0x8087> at usbus1
uhub3: <vendor 0x8087 product 0x0020, class 9/0, rev 2.00/0.00, addr 2> on usbus1
Root mount waiting for: usbus1 usbus0
uhub2: 6 ports with 6 removable, self powered
uhub3: 8 ports with 8 removable, self powered
ugen1.3: <American Megatrends Inc.> at usbus1
ukbd0: <Keyboard Interface> on usbus1
kbd0 at ukbd0
ums0: <Mouse Interface> on usbus1
ums0: 3 buttons and [Z] coordinates ID=0
Trying to mount root from ufs:/dev/ar0s1a
em0: link state changed to UP
em1: link state changed to UP
Проблема в следующем, днем вроде все работает вечером тоже! А на утро пропадает интернет! Вчера утром в rc.conf поставил firewall_enable="NO" перезапустил /etc/netstart, сегодня опять не работает включил фаерволл назад, заработало...
ПОМОГИТЕ!!! Каждое утро МУЧАЮСЬ

Re: ipfw nat пропадает Internet

Добавлено: 2011-08-24 11:15:56
itrab
такой вопрос.
Когда пропадает интернет утром, он затем появляется сам или нужно делать перегрузку сетевых интерфейсов и фаера?

Re: ipfw nat пропадает Internet

Добавлено: 2011-08-24 11:23:29
ADRE
А может провайдер говно?
если фаер выключен, вы сеть чем натите?

Re: ipfw nat пропадает Internet

Добавлено: 2011-08-24 11:26:12
itrab
ADRE писал(а):А может провайдер говно?
если фаер выключен, вы сеть чем натите?
да я вот тоже думаю, может быть у провайдера утром смена шейпов идет и отваливается на время канал...у одного нашего провайдера так и было.

Re: ipfw nat пропадает Internet

Добавлено: 2011-08-24 11:32:43
skorin
Совсем забыл написать что инет отваливается во внутренней сети! То бишь по ssh я на сервер из вне попадаю! Даже пингуются компы внутри сети, а вот инета на них нет!
Появляется после махинаций с фаерволом, и запуском скрипта /etc/netstart

Re: ipfw nat пропадает Internet

Добавлено: 2011-08-24 11:50:12
skorin
Инет натится natd

Re: ipfw nat пропадает Internet

Добавлено: 2011-08-24 12:34:02
Bayerische
Интернет какой — просто статика в локалку провайдера, или открытый IP?

Re: ipfw nat пропадает Internet

Добавлено: 2011-08-24 13:05:05
skorin
IP внешний - открытый.

Re: ipfw nat пропадает Internet

Добавлено: 2011-08-24 16:26:05
snorlov
Я думаю дело в волшебных emX, то бишь сетевухах...

Re: ipfw nat пропадает Internet

Добавлено: 2011-08-24 20:04:06
skorin
Были прецеденты с этими сетевухами? Или это предположение?!
До этого как то работало!
Не может быть это еще связано с тем что через провайдера настроено VPN соединение с другим офисом, хотя до этого работало с ним и проблем не было...

Re: ipfw nat пропадает Internet

Добавлено: 2011-08-25 8:24:39
ADRE
skorin писал(а):Инет натится natd
в нат чем засовываете?

Re: ipfw nat пропадает Internet

Добавлено: 2011-08-25 11:42:20
skorin
Э-э-э... не понял вопроса...
Что значит в нат чем засовываю??

Re: ipfw nat пропадает Internet

Добавлено: 2011-08-26 4:01:25
ADRE
skorin писал(а):Э-э-э... не понял вопроса...
Что значит в нат чем засовываю??

Код: Выделить всё

${FwCMD} add divert natd ip from ${NetIn}/${NetMask} to any out via ${LanOut}
${FwCMD} add divert natd ip from any to ${IpOut} in via ${LanOut}
если выключаете фаер - что происходит?

Re: ipfw nat пропадает Internet

Добавлено: 2011-08-26 9:20:34
skorin
Меня и смутил вопрос, вроде конфиги все написал!
Дело в том что происходит по разному, выключаю фаер - начинает работать, с утра опять пропадает, включаю фаер опять появляется но с утра пропадает!
На внутренней машине поставил Ping test, что бы понять в какое время пропадает связь. Два дня он работал, но не разу инет не пропадал....
Понять не могу в чём прикол, может и в правду в железе дело!

Re: ipfw nat пропадает Internet

Добавлено: 2012-06-08 13:45:33
Гость
Аналогичная ситуация. FreeBSD snksamara.r 8.2-STABLE, divert + natd. Отваливается раз в пару дней. Сетевухи vrX, nfeX.